Face à l’explosion des cyberattaques, à l’essor de l’intelligence artificielle et à l’exigence croissante de conformité internationale, le pays se prépare à franchir une nouvelle étape. Avec la mise en place d’une National Data Strategy, l’objectif est de renforcer la gouvernance des données, protéger les citoyens et rassurer les investisseurs. Une feuille de route ambitieuse, portée par le Data Protection Office, avec la Data Protection Commissioner, Drudeisha Madhub, qui insiste : « la protection des données est une responsabilité partagée. » Elle intervenait cette semaine à l’ouverture d’un atelier de travail, organisé par le Mauritius Institute of Directors, sur le thème Future-Ready Data Protection: Trends, Tools, and Techniques.
Elle explique que l’avenir dépend d’une approche structurée, dotée de ressources et soutenue par une stratégie nationale claire. « Maurice a été parmi les premiers pays africains à ratifier une convention internationale, ce qui lui vaut une reconnaissance parmi les pays africains pour son système de protection des données. Cependant, plusieurs domaines restent à être améliorés en matière de mise en application de la loi », souligne-t-elle. La DPA rappelle que la loi ne concerne pas seulement son bureau, mais l’ensemble du pays, des entreprises comme des individus. « Il est important de comprendre qu’en vertu de la Data Protection Act, les obligations d’application de la loi ne reposent pas uniquement sur les régulateurs, mais concernent aussi les entreprises, qui doivent veiller à sa mise en œuvre. C’est une responsabilité partagée », insiste-t-elle.
Or, les manquements persistent. Trop d’entreprises n’ont pas encore désigné de Data Protection Officer (DPO), une obligation pourtant inscrite dans la loi. « Beaucoup d’organisations négligent leur devoir de nommer des responsables à la protection des données. Confier cette fonction à n’importe qui n’est pas suffisant, car elle exige une expertise particulière. Il est donc essentiel d’investir dans la formation », explique-t-elle. De nouvelles réglementations sont attendues, afin de préciser le rôle et la certification des DPO.
L’un des grands chantiers en cours est la Mauritius National Data Strategy, un document de référence en matière de gouvernance des données dans les entreprises. « C’est un document important, qui vise à expliquer comment mettre en place une gouvernance des données au sein des entreprises, en cohérence avec les orientations du gouvernement. Son lancement est prévu avant la fin de l’année. Il fournira des directives claires pour la gestion des données dans les organisations, avec des explications accessibles pour tous », affirme Drudeisha Madhub.
Cette stratégie doit donner aux acteurs économiques les outils nécessaires pour bâtir une gouvernance solide, alignée aux standards internationaux. Elle s’accompagne du renforcement du cadre légal, avec les amendements à la Data Protection Act, finalisés l’an dernier et actuellement en attente de décision gouvernementale.
Dans la foulée, la DPA a évoqué l’Adequacy Project de l’Union européenne, qui pourrait transformer le paysage local : le projet d’adéquation vise l’évaluation et la reconnaissance, par la Commission européenne, du niveau de protection des données personnelles offert par les pays tiers. Ce processus permet de déterminer si un pays garantit un niveau de protection équivalent à celui de l’UE. « Si ce projet aboutit, cela changera la donne pour les investisseurs, tant en Europe qu’à l’international. Avec ces deux éléments en place, on pourra affirmer que la juridiction mauricienne est sécurisée au niveau de la protection des données », explique la Commissaire.
Le bureau de la protection des données développe aussi de nouveaux outils opérationnels, dont un Digital Lab destiné aux analyses spécialisées, et espère obtenir les fonds nécessaires à cet égard, ainsi que le soutien du ministère concerné. « Nous serons en mesure de faire de la Professional Analysis of Evidence », assure Drudeisha Madhub. Une unité spécialisée de la police au sein du DPO est également souhaitée, afin de renforcer les capacités d’enquête et de sanction. Parallèlement, plusieurs guides sont en cours de rédaction ou de révision, notamment pour le secteur financier et pour l’utilisation responsable de l’intelligence artificielle.
Si le renforcement de l’Enforcement est incontournable, la commissaire insiste sur la vocation pédagogique de son bureau. « Reinforcing enforcement is very important, mais notre principal objectif n’est pas de sanctionner mais d’éduquer. Et pour vous, il s’agit d’influencer la direction que prend votre entreprise en termes de conformité », dit-elle. Le Data Protection Office se positionnera ainsi non seulement comme régulateur, mais aussi comme centre de formation. « Quand le Data Protection Office sera reconnu sous la loi comme centre de formation, la formation pourra se faire de manière très professionnelle », ajoute-t-elle.
Au-delà de la stricte conformité réglementaire, la stratégie s’inscrit dans une vision plus large de démocratie et de l’État de droit. Le DPO travaille actuellement sur le Freedom of Information Bill, ainsi que sur des propositions d’amendement de la Constitution. Enfin, les futures e-Privacy Regulations devraient aborder des sujets sensibles, tels que les écoutes téléphoniques. « Nous espérons que ces projets vont se concrétiser, et s’ils ne se concrétisent pas, les yeux se tourneront vers le gouvernement… »
Une IA responsable et éthique
Drudeisha Madhub a détaillé leurs recommandations pour garantir que l’intelligence artificielle respecte la vie privée et les droits fondamentaux. Parmi les priorités : limiter la collecte de données au strict nécessaire, assurer la transparence des algorithmes et exiger le consentement éclairé des utilisateurs. Les entreprises devront mener des analyses de risques spécifiques à l’IA, évaluer l’impact sur la protection des données, et bannir les systèmes exploitant de façon abusive les faiblesses ou la vie privée des personnes.
La nomination d’un Data Protection Officer dans les entreprises et la mise en place d’un contrôle humain effectif sont désormais incontournables. L’objectif : renforcer la gouvernance, garantir l’éthique, et s’assurer que chaque système IA utilisé respecte les plus hauts standards internationaux en matière de protection des données.
